2016년 1월 25일 월요일

[보안이슈] 랜섬웨어

랜섬웨어란?




'랜섬웨어'는 몸값을 뜻하는 'Ransome'과 제품을 뜻하는 'Ware'의 합성어 이다. 사용자의 문서를 인질로 삼고 돈을 요구하는 악성 프로그램 이다.

주로 나타나는 피해 상황은 크랙커가 PC에 저장된 문서,  사진 등 파일을 암호화 한 뒤, 비트코인을 통해 입금을 하면 비밀번호를 알려 주겠다고 협박하는 것이다. 입금을 할 경우에도 비밀번호를 알려주지 않는 경우가 많으며, 입금을 하지 않을 경우 그 금액이 올라가기도 한다. 사설 업체를 통해 복호화 서비스를 받은 경우, 주요 문서가 경쟁 업체에 유출되는 경도 있다.

신종 사이버 공격인 만큼 감염 사례가 늘고 있으며, 인터넷을 사용하는 누구나 타겟이 된다는 점, 금전적인 피해는 물론, 중요한 정보를 잃어 버리거나 유출되는 2차 사고 피해가 큰 점 등이 있기에 위협에 적극 대비해야 한다.

랜섬웨어 예방방법
  • 운영체제, 브라우저, 주요 앱(APP)의 최신 보안 업데이트 적용
    윈도우, 아크로뱃 리더, 플래시 플레이어, 자바 등의 프로그램의 최신 업데이트 설치로 항상 최신 버전을 유지하고 보안 업데이트 지원이 종료된 OS는 사용하지 않는다.
  • 백신 소프트웨어 설치 및 최신 버전 상태 유지
    백신의 엔진 버전을 최신 상태로 유지하고 '실시간 감시' 기능을 활성화하고 정기적으로 정밀검사를 수행한다. 
  • 정상적인 이메일인지 꼼꼼히 살피고, 출처가 불분명한 이메일에 포함된 파일실행은 자제
    출처가 확인 되지 않은 메일 수신 시, 절대 함부로 열어보지 않으며 메일 본문은 꼼꼼히 읽고 스팸여부를 확인하고 폴더 옵션 항목 중 '알려진 파일 형식의 파일 확장명 숨기기' 기능을 해제해 파일명을 잘 확인 하고 지인이 보낸 메일의 파일도 바이러스 검사를 한 후 실행한다.
  • 보안이 취약한 웹사이트나 정상적이지 않은 웹사이트의 방문은 자제
    회사에서는 업무외 인터넷 사용을 자제하고 이용시 파일 설치 등을 잘 확인한 후 이용한다.
  • 중요 업무 및 기밀 문서, 이미지 파일은 주기적으로 백업
    사용자의 데이터를 압축해 암호를 설정하고 압축된 파일은 외장하드, USB 또는 NAS 등에 분산 저장한다.


감염 후 대처 방안
  • 윈도우 시점복구 기능 사용
    MS에서는 윈도우 시점복구 기능을 제공하고 있다. 윈도우 시점복구는 특정 과거 시점으로 되돌려 주는 것으로, 윈도우 보안 업데이트를 진행 시 자동으로 윈도우 시점복구를 생성한다. 특정 시점복구 이후에 생성된 파일은 복구할 수 없다는 한계가 존재하지만, 시점복구 이전의 파일들에 대해서 복원이 가능하다. 단 사용자의 문서나 사진파일의 경우, 시점복구 이후에도 복원이 이뤄지지 않는 문제가 있으므로 백업이 가장 중요하다. 
  • 사용자 파일 백업 및 복원 기능 사용
  • 윈도우에서 제공하는 '사용자 파일 백업 및 복원 기능'을 이용해 랜섬웨어에 감염되기 이전의 사용자 파일을 불러올 수 있다. 단 이 기능도 사용자 파일 백업 기능을 통해 미리 사용자 파일을 백업한 경우만 복원이 가능하다. 
  • 만약 윈도우의 모든 파일을 복구시키지 않고 몇몇 중요한 파일들만 복구하고 싶은 경우에는 ShadowExplorer 툴을 사용하여 파일을 복구시킬 수 있다. 
  • 단, 해당 툴을 사용하기 위해서는 반드시 랜섬웨어 감염 전부터 '사용자 파일 백업' 기능이 사전에 활성화되어 있어야 하며, 데이터가 백업된 날짜가 악성코드에 감염되기 이전 시점이어야 한다.
  • 복호화 사이트 방문
    랜섬웨어는 비대칭 암호화 방식을 사용하고 있으므로 개인키가 있어야만 암호화된 파일을 복호화시킬 수 있다. 최근 이러한 랜섬웨어가 기승을 부리자, 해외 보안업체 중 일부는 경찰과 협력해 공격자들의 개인키들을 수집하여 암호화된 파일을 복호화해주는 서비스를 제공하고 있다. 그러나 개인키가 수집되지 않은 랜섬웨어로 암호화된 파일들은 복호화시킬 수 없으므로 참고해야 한다.


[출처]

http://www.forbes.com/sites/symantec/2014/12/08/ransomware-7-dos-and-donts-to-protect-your-business/#57eb72531b0b
http://blog.skinfosec.com/220596405518
http://blog.alyac.co.kr/305

댓글 없음:

댓글 쓰기